Wiadomości

Świat Internetu opiera się o system nazw domenowych, tak zwany DNS (z ang. Domain Name System). Łącząc się z każdą stroną www, np. serwisu społecznościowego czy banku, a nawet korzystając z poczty elektronicznej, wykorzystujemy nazwy domenowe (np. nask.pl) nie zastanawiając się, jak odbywa się proces przekształcania ich na adresy protokołu internetowego (IP), z którymi łączy się nasz komputer.

Jednocześnie coraz częściej słyszymy, że Internet zawiera w sobie różnego rodzaju zagrożenia, banki uczulają nas na sprawdzanie zabezpieczeń dostępu do ich serwisów, stosujemy szyfrowanie poczty elektronicznej, ale ufamy, że wpisując w przeglądarce www nazwę domeny internetowej naszego banku, łączymy się z właściwym serwisem czy usługą. W rzeczywistości może zdarzyć się, iż niezauważenie zostaniemy przekierowani na identyczny, również zabezpieczony serwis, ale niestety nienależący do naszego banku, a wprowadzając tam hasło i login oddamy dostęp do naszego konta przestępcom. Takie działanie opiera się na wykorzystaniu luki w systemie nazw domenowych, polegającej na zamieszczeniu w pamięci serwerów rozwiązujących nazwy domenowe fałszywych adresów IP. Wówczas, pomimo że użytkownik wprowadzi do przeglądarki poprawny adres strony www, jeśli proces rozwiązywania nazwy domenowej spotka na swej drodze serwer z fałszywym adresem IP, w odpowiedzi użytkownik zostanie przekierowany na fałszywą stronę.

Opisanemu zagrożeniu można jednak zapobiec. Z pomocą przychodzi nam kryptografia, która wprowadza do DNS rozszerzenie dające możliwość uwierzytelnienia danych otrzymanych w procesie rozwiązywania nazw domen internetowych na adresy IP. Rozszerzenie to, noszące nazwę DNSSEC (ang. Domain Name Security Extensions), staje sie coraz bardziej popularne na świecie, ponieważ jest skuteczną metodą zwiększenia bezpieczeństwa korzystania z DNS, a przez to bezpieczeństwa użytkowników Internetu oraz instytucji funkcjonujących w Internecie.

Proces uwierzytelniania danych w DNSSEC polega na tzw. ,,łańcuchu zaufania", co wymaga poprawnego podpisania poszczególnych poziomów domen zgodnie z hierarchiczną strukturą DNS. Oznacza to, że aby zabezpieczyć nazwę domeny należy podpisać ją i wprowadzić specjalny skrót z klucza podpisującego strefę (tzw, rekord DS, ang. Delegation Signer) do strefy (domeny) nadrzędnej w hierarchii DNS, w której nazwa domeny została zarejestrowana. Domena nadrzędna powinna być zabezpieczona w analogiczny sposób w domenie nadrzędnej wobec siebie.

W lipcu 2010 roku organizacja IANA (The Internet Assigned Numbers Authority) podpisała strefę najwyższego poziomu (tzw. root, inaczej nazywany domeną główną i oznaczany kropką), co otworzyło drogę do zabezpieczenia kolejnych poziomów domen w tym domeny .pl.

Od 20 grudnia 2011 NASK planuje udostępniać domenę .pl oraz inne domeny zarządzane przez NASK (np. .com.pl, .waw.pl, .net.pl) w formie zabezpieczonej protokołem DNSSEC. Będzie to pierwszy etap wdrożenia DNSSEC, który zakończy się opublikowaniem, na przełomie stycznia i lutego 2012, przez IANA skrótu z klucza podpisującego strefę .pl w domenie najwyższego poziomu - root.

Umieszczenie skrótu z klucza w root zapewni domenie .pl pełną walidację i otworzy drogę do kolejnego etapu, którym będzie zabezpieczanie nazw utrzymywanych w rejestrze domeny .pl. Ten etap planujemy rozpocząć w drugim kwartale 2012. Wówczas abonenci będą mogli uwierzytelniać swoje nazwy domeny w protokole DNS.

15 lipca 2010 roku organizacja IANA podpisała strefę root. 15 września 2010 roku NASK wraz z Partnerami rozpoczął testy protokołu DNSSEC. W ten sposób rozpoczął się nowy rozdział w historii protokołu DNS i jego bezpieczeństwa na świecie jak i w naszym krajowym rejestrze.

DNSSEC to rozszerzenie protokołu DNS o technologie kryptograficzne, wykorzystujące mechanizm kluczy asymetrycznych (tj. klucz publiczny i klucz prywatny). Wprowadzenie tego mechanizmu zwiększa poziom bezpieczeństwa protokołu DNS. Dzięki wykorzystaniu materiału kryptograficznego i podpisów cyfrowych możliwe jest uwierzytelnianie danych otrzymanych w procesie rozwiązywania nazw domen internetowych na adresy IP. Ataki typu cache-poisoning czy inne modyfikujące dane zawarte w pakietach DNS mimo, że ciągle możliwe, staną się bezskuteczne. Użytkownik, czy jego system operacyjny będzie w stanie stwierdzić czy informacja, która do niego dotarła jest poprawna czy fałszywa, a co za tym idzie czy strona internetowa, którą odwiedza to np. strona banku czy podszywająca się pod nią strona fałszywa (phishing).

Phishing to metoda podszywania się pod oryginalną witrynę internetową za pomocą identycznej lub łudząco podobnej, spreparowanej przez przestępców strony internetowej celem wyłudzenia poufnych informacji. Najczęściej są to hasła do kont bankowych. Ataki tego typu wykorzystują błędy w przeglądarkach internetowych lub korzystają z możliwości zmiany danych przesyłanych w pakietach DNS. W rezultacie niczego niepodejrzewający użytkownik wchodzi na taką stronę, loguje się na swoje konto poprawnym loginem i hasłem, które zostają przechwycone i wykorzystane do przestępstwa. W tym wypadku kradzieży pieniędzy.

NASK prowadził testową strefę dnssec.pl już w 2006 roku, jednak bez zainteresowania ze strony Partnerów NASK, których rola w całym procesie zabezpieczenia jest zasadnicza. Rynek nie zareagował. Dopiero podpisanie strefy Root 15 lipca 2010 roku przez organizację IANA otworzyło nowe możliwości rozwoju dla tego mechanizmu. Przestrzeń domen stała się globalnie weryfikowalna, a kolejne rejestry zaczęły publikować swoje rekordy DS. W tej chwili w strefie root jest ich 28 (.be, .bg, .biz, .br, .cat, .ch, .cz, .dk, .edu, .eu, .fr, .info, .li, .lk, .museum, .na, .nu, .org, .pm, .pr, .pt, .re, .se, .tf, .th, .tm, .uk, .us) i kilka testowych stref IDN. Dzięki temu wydaje się możliwe stworzenie nowego produktu, a więc zainteresowanie rynku tym mechanizmem, co przełoży się w ostateczności na korzyść w postaci zwiększenia bezpieczeństwa w Internecie, a co za tym idzie również na nasze bezpieczeństwo.

Świadomość i wiedza operatorów DNS muszą zostać przystosowane do nowych warunków świadczenia usług. O ile sama technologia DNS w większości wypadków była technologią 'skonfiguruj (poprawnie) i zapomnij' o tyle DNSSEC już taki nie jest. Stałe monitorowanie strefy, zachowanie łańcucha zaufania (chain of trust), weryfikowanie poprawności podpisów, ich czasu ekspiracji oraz procedury wymiany kluczy wymuszają by administratorzy zwrócili znacznie większa uwagę na to, co się w strefie dzieje. Niezbędne jest opracowanie jasnych i skutecznych procedur. Nawet drobna pomyłka może sprawić, że całe drzewo nazw, które znajdują się w naszej strefie przestanie być weryfikowalne, co na pewno przekłada się na koszty operacyjne.

Na szczęście dostępne jest już coraz bardziej dojrzałe oprogramowanie do zarządzania kluczami oraz do monitorowania wszelkich parametrów protokołu DNSSEC. Jeżeli chodzi o zarządzanie kluczami to na czoło wysuwa się tutaj projekt OpenDNSSEC (http://www.opendnssec.org/ (istnieje możliwość połączenia go z Nagiosem - system monitoringu udostępnianym na licencji GPL). Do monitorowania podpisanej strefy można skorzystać z oprogramowania stworzonego między innymi przez rejestr francuski (http://www.zonecheck.fr/) czy szwedzki (http://dnscheck.iis.se/).Istnieje również wtyczka do przeglądarki Firefox opracowana przez czeski rejestr domen (https://addons.mozilla.org/en-US/firefox/addon/64247/).Dostępne są też graficzne narzędzia takie jak na przykład DNSViz (http://dnsviz.net/). Ostatnie wymienione oprogramowanie jest o tyle ciekawe, że oprócz samej analizy podpisanej strefy swoje wyniki wyświetla w postaci grafów, rysując poszczególne zależności między rekordami DNSKEY (tj. kluczami) i rekordami DS (tj. kryptograficznymi skrótami rekordów DNSKEY). Oprogramowanie BIND jako najpopularniejszy serwer DNS również wprowadza pewne rozwiązania.

Aby zacząć korzystać z rozszerzeń protokołu DNSSEC należy przy pomocy dostępnych narzędzi wygenerować odpowiednią parę kluczy - KSK (Key Signing Key) i ZSK (Zone Signing Key). Przy pomocy tak wygenerowanych kluczy musimy podpisać dane znajdujące się w naszej strefie. Klucz KSK podpisze nam zestaw rekordów DNSKEY, natomiast klucz ZSK podpisze pozostałe zestawy rekordów. Wygenerowany skrót klucza KSK w postaci rekordu DS (Delegation Signer) należy umieścić w strefie nadrzędnej do naszej. I już możemy się chwalić strefą zabezpieczoną protokołem DNSSEC.

Sam DNSSEC nie jest bez wad i nie jest lekiem na całe zło. Zwiększone wielkości pakietów, oraz krytyczny materiał kryptograficzny (część prywatna klucza) wymuszają inwestycje w infrastrukturę oraz zmianę oprogramowania na wspierające DNSSEC. Samo rozwiązywanie nazw przez resolvery operatorów też wymaga zwiększonej mocy obliczeniowej ze względu na algorytmy szyfrujące w nim wykorzystywane. Zwiększa się też zagrożenie ze strony ataku znanego jako amplification attack (jednak w tym wypadku źródłem problemu są serwery open recursive, a nie protokół DNSSEC). Zarzuca się też długi proces tworzenia standardu. Pierwsze dokumenty powstały pod koniec lat '90, a kolejna pełna specyfikacja zwana DNSSEC-bis (czyli prawie obecna) była dostępna dopiero od 2005 roku.

Abonenci, którzy zdecydują się na zabezpieczenie swoich domen protokołem DNSSEC mają pewność, że dane zwracane przez lokalne resolvery są weryfikowalne i odpowiadające zawartości strefy, którą przyszło im zarządzać. Chroni to ich markę, wizerunek i produkt, jaki oferują swoim klientom. Z korzyścią dla użytkowników końcowych, czyli właśnie klientów banków czy sklepów internetowych, którzy mają pewność, że odwiedzana przez nich strona to właśnie strona banku czy sklepu internetowego, w którym chcą zlecić przelew czy dokonać zakupu.

Z bezpieczeństwa jakie wprowadza protokół DNSSEC będziemy w pełni korzystać jeżeli krytyczne nazwy domeny, czyli te związane z usługami w których przekazujemy wrażliwe informacje jak login i hasło, zostaną zabezpieczone tym protokołem, a dostawcy Internetu będą weryfikować podpisy odpowiedzi DNS w imieniu swoich klientów, czyli nas.

W nocy z 3 na 4 stycznia 2011 roku w prowadzonym przez Naukową i Akademicką Sieć Komputerową (NASK) krajowym rejestrze domen internetowych została zarejestrowana dwumilionowa domena pod nazwą tu-tam.pl. W ciągu dwóch ostatnich lat ich liczba wzrosła o 100 proc. Dwadzieścia lat po przyłączeniu do Internetu Polska zajmuje piąte miejsce w Europie pod względem ilości zarejestrowanych domen.

Przekroczenie pierwszego miliona zarejestrowanych domen internetowych zajęło Polsce 17 lat. Natomiast wzrost tej liczby o kolejny milion wyniósł zaledwie 2 lata. Świadczy to o dynamicznym rozwoju Internetu w Polsce. Według wyników badań GUS w 2010 r. 65,5 proc. przedsiębiorstw miało swoją stronę internetową (w 2007 r. tylko 53,2 proc.), a 63,4 proc. gospodarstw domowych posiadało dostęp do Internetu (w 2007 r. 41 proc.).

Wysoka liczba nowych rejestracji, a także odnowienia posiadanych abonamentów tylko w samym 2010 roku wyniosły ponad 1 milion, co oznacza prawie 2900 rejestracji dziennie. Tak duża dynamika wzrostu liczby nazw domeny .pl, która w roku 2010 osiągnęła prawie 23 proc., stawia Polskę na pierwszym miejscu pośród wszystkich rejestrów z Unii Europejskiej.

Dwa miliony domen Polska osiągnie jako piąty kraj w Europie, wyprzedzając między innymi Francję, Hiszpanię i Belgię.

Przyczyny dynamicznego wzrostu

Na osiągnięcie ponad 2 milionów zarejestrowanych nazw domen .pl w tak krótkim czasie wpływ miał rozwój Programu Partnerskiego NASK, który daje szansę zaistnienia nowym podmiotom na rynku domen internetowych - mówi Michał Chrzanowski, dyrektor NASK i dodaje - W 2010 roku podpisało z nami umowę aż 37 nowych podmiotów z różnych części świata. W sumie współpracujemy już z 148 Partnerami.

Program Partnerski działa od 2003 r. Umożliwia Partnerom samodzielne rejestrowanie i obsługę nazw domeny, natomiast abonentom ułatwia wybór najbardziej atrakcyjnej oferty. Partnerzy obsługują obecnie ponad 98 proc. nazw domeny .pl. Sukces NASK należy zatem postrzegać również jako sukces Partnerów, bez których rozwój wszystkich nazw internetowych zarejestrowanych w domenie .pl byłby znacznie wolniejszy.

O Naukowej i Akademickiej Sieci Komputerowej (NASK)

NASK instytut badawczy podłączył w 1991 r. Polskę do| Internetu. Pełni rolę krajowego rejestru, który utrzymuje i dba o bezpieczeństwo wszystkich nazw internetowych zarejestrowanych w domenie .PL. Jest także polskim operatorem sieci transmisji danych, a w jego strukturach działa zespół CERT Polska, który zajmuje się bezpieczeństwem sieciowym. W ramach Akademii NASK realizowany jest Program Komisji Europejskiej Safer Internet, obejmujący szereg działań edukacyjnych zmierzających do podniesienia poziomu bezpieczeństwa dzieci korzystających z Internetu. Instytut podlega bezpośrednio Ministerstwu Nauki i Szkolnictwa Wyższego.

Kontakt dla mediów:

Anna Maj
Menedżer ds. Public Relations
e-mail: Anna.Maj@nask.pl
tel.: (48) 600 005 396
www.nask.pl

NASK utrzymuje już 1,8 miliona nazw domeny .pl, z czego prawie 1,7 miliona stanowią nazwy domeny, do których przypisane są krajowe dane adresowe. Na początku maja bieżącego roku NASK dokonał analizy liczby zarejestrowanych nazw domeny .pl w poszczególnych województwach i powiatach Polski.

Poniższa mapa ukazuje procentowy podział utrzymywanych polskich nazw domeny w 16 województwach oraz 379 powiatach. Wyniki analizy pokazują, że najwięcej nazw domeny .pl zarejestrowanych jest w województwie mazowieckim - 27,01%, a następnie w małopolskim - 10,57%, śląskim - 10,47%, wielkopolskim - 8,14% i dolnośląskim - 7,77%.

Najmniej, czyli poniżej 2% utrzymywanych nazw domeny .pl odnotowano w województwie opolskim - 1,62% i województwie świętokrzyskim - 1,29%.

W porównaniu z poprzednim badaniem, przeprowadzonym w marcu 2009 roku, odnotowano spadek procentowego udziału województwa mazowieckiego o 2,26 p.p. i wzrost udziału województwa małopolskiego o 1,93 p.p. Zmiany w udziale pozostałych województw nie przekraczają 0,4 p.p.

Sytuacja w poszczególnych powiatach jest bardzo zróżnicowana, zależy głównie od gęstości zaludnienia oraz rozwoju gospodarczego. Najwięcej nazw domeny rejestrowanych jest w miastach na prawach powiatu. Udział powyżej 1% odnotowano w 13 dużych miastach Polski. Prym wiedzie Warszawa, gdzie zarejestrowanych jest 19,15% nazw domeny .pl. Na następnych miejscach plasują się: Kraków - 6,25%, Wrocław - 4,20% i Poznań - 3,55%.

W porównaniu do roku 2009 należy zwrócić uwagę, że udział Warszawy spadł o ponad 2,2 p.p. oraz nastąpił wzrost ilości nazw domeny zarejestrowanych w Krakowie o 1,4 p.p.

Obecnie w 202 powiatach utrzymywanych jest poniżej 0,1% nazw domeny. Najmniejszy udział - 0,01% ma powiat grudziądzki w województwie kujawsko-pomorskim.

W poprzednim roku liczba nazw domeny nie przekraczała 0,01% w trzech powiatach, a poniżej 0,1% nazw domeny występowało w 214 powiatach. Wskazuje to na niewielki wzrost liczby rejestracji nazw domeny .pl na obszarach, gdzie liczba zarejestrowanych nazw domeny jest niska.

Mapa powiatów dostępna jest po wybraniu województwa. Wartości uzyskane przez poszczególne powiaty ujęto w promilach (‰), które sumują się do wartości uzyskanej w danym województwie.

NASK przeprowadził kolejną analizę regionalną rejestracji nazw domen .PL w Polsce. Tym razem dotyczy ona powiatów.

W Polsce jest 379 powiatów. Rozłożenie rejestracji w poszczególnych powiatach jest zróżnicowane. W powiatach, w których obserwuje się wzmożony rozwój gospodarczy oraz dużą gęstość zaludnienia, ilość zarejestrowanych domen jest znacznie wyższa. Najwięcej rejestracji odnotowano w miastach na prawach powiatu np. Warszawie, Krakowie i Wrocławiu, gdzie ilość rejestracji wynosi odpowiednio 213,71‰, 48,13‰ oraz 43,55‰. Najmniej nazw domen .PL zarejestrowano w powiatach kolneńskim i łomżyńskim w woj. podlaskim oraz w powiecie lipskim w woj. mazowieckim - we wszystkich po 0,10‰. Aż w 214 powiatach zarejestrowano poniżej 1‰ domen.

Wszystkie wartości rejestracji domen w powiatach podane zostały w promilach (‰). Po najechaniu kursorem na województwo i kliknięciu pojawi się szczegółowa mapa powiatowa.

Statystyki opracowane wg danych na dzień 1 marca 2009.

Botnet Conficker, jeden z najgroźniejszych robaków Internetowych, wykorzystuje do komunikacji ze swoim centrum kontroli (Command & Control) protokół http, łącząc się z serwerem kontroli na porcie 80. w celu pobrania nowego pliku binarnego. Serwery z którymi łączy się bot lokalizowane są z wykorzystaniem DNS, poprzez codzienną generację nowej listy kilkuset domen (najnowcza wersja Confickera generuje nawet 50.000 domen dziennie, najbardziej popularna wersja generuje "tylko" 450 domen). Bot odpytuje DNS o każdą z domen na liście i dokonuje próby połączenia z uzyskanym w ten sposób adresem IP. Tylko niektóre z "wygenerowanych" domen wskazują na serwer ze złośliwym kodem, co nie zmienia faktu, że wiele serwerów może zostać odpytanych "przy okazji" przez poszczególne boty, w tym serwery istniejących i zupełnie niewinnych serwisów WWW. Takie działanie Confickera może doprowadzić, w sposób niezamierzony przez twórców tego bota, do ataku Distributed Denial of Service na istniejące serwisy WWW.

Specjaliści zajmujacy się analizą kodu Confickera uzyskali algorytm którym posługuje się Conficker w celu wygenerowania listy domen - celów ataku. Część z tym domen jest już dawno zarejestrowana i potencjalnie może być celem nieświadomego ataku Confickera, skutkując poważnymi zaburzeniami w funkcjonowaniu serwisów. Poniżej publikujemy listę domen, które mogą być celem ataku bota. Jeśli Twoja domena znajduje się na tej liście, warto przedsięwziąć środki, celem zmniejszenia skutków ewentualnego ataku Denial of Service na Twój serwis WWW.

Lista domen wygenerowanych przez robaka Conficker w formacie TXT